这个由中国黑客研究的“超级欺骗系统”,究竟能做什么?
上兵伐谋,其次伐交,其次伐兵,其下攻城。——孙子兵法《谋攻篇》 引子某些职业天生受人敬畏,因为它和人的某个优秀特质相连。舞蹈,让人们想到优美的形体;长跑,让人想到坚毅的品质。而黑客,让人联想到高超的技术。 现实世界的每一个个人和组织,都在网络世界的版图中对应着属于自己的一座或大或小的城池。而在险恶的互联网丛林中,每座城市都随时面临来自黑暗中的突施冷箭。 凡是武林中人,总有正邪之分。 邪恶的黑客,常常打着技术无罪的大旗,带领盗匪企图杀入城中烧杀抢掠;而正义的黑客,手握武器高立城头,用正义的子弹射穿入侵者的喉咙。 诚然,很多人想到黑客,就会联想到高超的技术。但是,当你真正了解到赛博世界殊死搏斗的真相,你就会理解,对于黑客的最高褒赏,并不是攻城略地的高超技术,而是不战而屈人之兵的闪光智慧。 诸葛亮不费一兵一卒,靠一曲琴音喝退司马懿十万大军,守卫三分天下; 艾森豪威尔运筹帷幄,让德军主力扑空加莱,才有人类的荣耀之日——诺曼底登陆; 《盗梦空间》中的造梦师们正是通过潜意识的进攻,让能源巨头的继承者费舍自愿解散公司。 《孙子兵法》有云,攻城为下,攻心为上。 中国黑客的“欺骗系统”黑客的世界之所以吸引人,恰恰因为我们在现实世界的一切幻想,都在这里真实地发生着。入侵企业,获得大量机密资料,可以在商场上给对手致命一击。 这是一个真实的故事,某知名企业董事会刚刚散会,竞争对手的桌子上就摆好了他们的会议纪要;董事长刚刚写好的文件,自己公司还没有来得及印发,对手已经全公司传阅。自己企业最新设计的手机原型机,还没有来得及生产,对手已经根据图纸进行了仿造并且占领了市场。 我们看到的商业竞争,背后几乎都有着不可言说的赛博世界的血战,而这血战背后可能决定着一个人一生的兴衰荣辱。为了这个目标,邪恶的黑客们可以使出最恶毒的招数来渗透、入侵。 但是,这个世界之所以没有让人绝望透顶,恰恰是因为有正义的黑客挺身而出,自愿构建一个强大的天网,和邪恶作斗争。这些黑客,就包括潜行十几年,用自己的技术深刻改变了中国在世界政治中地位的中国第一代黑客 CP 和 la0wang,还有曾经在腾讯一马当先抵御网络黑产的安全大牛 Oscar 和可以用一串代码平趟所有网站的乌云一哥 Jannock。 2016年,这些代表了全中国最强黑客火力的黑客们走到了一起,成立了一家名为“锦行科技”的“团伙”。这个团伙的首要目标,就是要消灭黑客雇佣兵对于企业肮脏的攻击和疯狂的信息窃取。 而他们的独门武器,就是“网络空间欺骗系统”——幻云。 从哲学上来看,这世间一切的成就,都来自于对信息的确定。例如, 如果你可以看透对手下一步要走的棋子,那么你就会胜券在握; 如果你可以侦听到女神的思维信息,那么你表白成功的概率就会暴增; 如果你确定知道明天有哪支股票会涨,那么你一定可以身价翻倍。 但是,如果你以为是确定的信息,在事实上都是假的呢?让对手相信他掌握了你的确定信息,而这恰恰是你制造出来的幻觉,这就已经在防御上处于绝对的上风。简单来说,幻云就试图制造这样一个欺骗系统,让入侵的黑客以为自己进入了企业内部,而实际上他只是进入了一个精心构建的虚拟世界,一个如来佛祖掌握在手心的盗梦空间,一个他每走一步就多暴露自己一点的玻璃屋中。 蜜罐、蜜网和蜜场刚刚扯的那么多欺骗哲学,究竟要怎么实现呢? 小编()宅客频道有机会和锦行科技的几位大牛对谈,他们提出了三个有趣的概念:蜜罐、蜜网和蜜场。 蜜罐蜜罐是一个非常形象的词汇:蜜 + 罐,英文单词也是 honey + pot。 蜜代表了甜头好处,也就是攻击者有可能感兴趣的特征,而罐代表了一个环境,通过这个环境,可以捕捉入侵者的行为。 形象地说,这就像生长在美洲的捕蝇草。利用甜美的气息吸引苍蝇前来觅食,然而一旦苍蝇进入陷阱,它的命运就会急转直下。 虽说进入蜜罐的黑客并不会葬身于此,但是却留下了自己的攻击工具和攻击痕迹。研究了黑客使用的工具,防御者就可以轻松研发相对应的对抗工具,就像人的肌体,获得了对新病毒的免疫能力。 锦行科技产品总监胡鹏为我们进行了简单的科普, 蜜罐一般分为低交互蜜罐和高交互蜜罐,低交互蜜罐一般用于报警或者获取一些攻击代码,高交互蜜罐用于深入观察攻击者行为并分析。 但是总体来说,蜜罐的问题在于,环境过于单一,特征很明显,攻击者容易识别。 想象一下,如果苍蝇都记住了捕蝇草的形状,相信捕蝇草今后只能捕到各种砖头石块了。 蜜网简单来说,蜜网就是有组织的蜜罐,用各式蜜罐来构建一个欺骗网络。对于黑客来说,在赛博空间内他们无法依靠视觉。他们就像一个小偷潜入一个漆黑的别墅,其中所有的陈设都需要他们靠手来触摸,然后自己标记,在心里绘制出一副他们“想象中”的内部地图。 如果潜入的黑客是一个经验老到的惯犯,仅仅摸到一个假门,仔细摸索发现门后空无一物,那么他就可以判定这道门就是一个蜜罐。 然而如果用不同的蜜罐组成蜜网,小偷就会相信门后面有一个房间,里面陈设着衣柜沙发书桌等等。在小偷摸索的过程中,蜜网设置者就有更充足的时间来观察来者,等待他使用更多的进攻工具,从而制造出更全面的防护武器。 但是,正如刚才的比喻,蜜网只是一个假设在真实别墅里的虚拟房间,小偷在摸进蜜网之前,势必有可能经过其他真实的房间,由于蜜网设置在企业真实的系统之内,对于企业来说,仍然存在被黑客攻击的可能。 于是蜜场就出现了。 蜜场所谓蜜场,就是利用蜜罐、蜜网完整模拟出一个公司的所有架构。相当于再造一个企业的别墅,然后放一个传送门(重定向器),一旦探测到可能的攻击,就直接把黑客的流量转移到假的别墅(蜜场)中。 只要黑客进入蜜场,他想要的一切都可以被“找到”,他要的核心经营数据就放在办公桌上,他要的财务报表就在保险柜里,他要的组织人员架构图就在书架上。 这一切,都是根据企业真实的情况翻版出来的假象,当然,所有的数据都是假的。 这个伪造的“蜜场”和企业的真实环境究竟有多相似呢? 锦行科技首席安全官 la0wang(王俊卿)告诉我们: (编辑:ASP站长网) |